Home > 전체기사
세계적인 항공사들의 전자 티켓 시스템, 고객 정보 흘린다
  |  입력 : 2019-02-07 17:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계 곳곳의 항공사들, 고객에게 편리한 링크 보내려다가
같은 와이파이망에 있을 경우 공격 가능...항공사들은 “별 거 아닌 문제”


[보안뉴스 문가용 기자] 일부 대형 항공사들이 승객 데이터를 제대로 관리하지 않고 있다고 보안 업체 완데라(Wandera)가 발표했다. 이 때문에 특별히 항공사들을 표적으로 삼지 않는 공격자들이라고 하더라도 승객의 데이터를 가로채거나 심지어 예약 관련 내용을 조작해 티켓을 인쇄할 수 있다고 한다.

[이미지 = iclickart]


항공사들이 제대로 보호하지 않는 데이터는
1) 승객의 이름
2) 탑승권
3) 비행 관련 세부 정보
4) 여권 정보
5) 여행 증명서
6) 이메일 주소
7) 전화번호 등이라고 완데라는 지적했다.

이런 내용은 완데라가 최근 미국, 유럽, 아태 지역에 있는 40개가 넘는 글로벌한 항공사들이 사용하고 있는 전자 항공권 시스템을 분석하면서 발견한 것이다. “우연히 어떤 항공사가 고객 정보를 암호화하지도 않은 채 전송하는 걸 목격했고, 그 때문에 조사를 시작했다”고 완데라는 설명한다.

그 결과 너무 많은 항공사들에서 고객 체크인을 처리한다는 명목으로 각종 링크들을 전혀 안전하지 않은 방법으로 주고받는다는 것이 드러났다. “특히 고객들에게 보내는 항공사 사이트의 링크가 많았습니다. 비행기 티켓을 예매한 고객이, 해당 링크를 클릭하면 자동으로 체크인이 되거나 일부 내용을 변경케 하는 기능을 가진 것들이죠. 이 링크가 굉장히 불안한 상태입니다.”

완데라가 조사한 결과 8개의 항공사가 이 링크를 암호화하지 않아 고객 정보를 위험하게 만드는 것으로 나타났다. 물론 완데라의 조사에 응한 항공사들 중에서 8군데다. 그래서 완데라는 “더 많은 항공사들에 유사한 문제가 있을 것”으로 보고 있다. 이 8군데의 항공사들은 미국, 유럽, 호주에 고르게 분포되어 있는 것으로 나타났다.

이에 대해 이름이 언급된 한 항공사는 “고객 정보가 실제 악의적 거래나 공격에 활용된 사례를 찾지 못했다”며 “다층의 보안 장치들을 마련해 고객의 정보를 평소부터 단단히 보호하고 있다”고 발표했다. 그러면서 “앞으로 이메일 정보나 고객의 프라이버시를 보호하기 위해 더 많은 보안 장치를 추가하도록 하겠다”고 약속하기도 했다.

전자 비행기표와 관련이 있다는 점을 빼고는 모든 항공사들이 제각각의 문제를 가지고 있었다. 한 항공사의 경우 고객들에게 보내는 체크인 링크를 통해 고객의 성과 예약 번호가 노출되고 있었다. 그 외 고객의 실명을 완전히 노출하는 항공사, 전화번호를 드러내고 있는 항공사, 여권번호를 유출시키고 있는 항공사, 국적과 성별, 생년월일을 공개하는 항공사 등이 있었다.

이렇게 취약한 링크를 공격자는 어떤 방식으로 가로챌 수 있을까? 먼저 공격 성립에는 한 가지 전제 조건이 붙는다. “링크를 전송받는 승객과 공격자가 같은 와이파이에 연결되어야 있어야 합니다. 이것이 공격의 구현을 어렵게 한다고 볼 수도 있지만, 실현 가능성이 마냥 낮다고만은 할 수 없습니다. 게다가 여행과 관련된 정보에는 개인정보가 풍부하게 들어있기 때문에 한 번 당하면 매우 치명적으로 작용할 가능성도 높습니다.”

같은 와이파이에 연결해 링크를 가로채는 데 성공한 후 공격자들은 승객인 것처럼 위장할 수 있다. 체크인 과정이 시작되기 전이든 과정이 끝나고 나서이든 상관이 없다. 체크인 전후 언제든지 승객인 것처럼 위장함으로써 계정 정보 내용을 바꿀 수 있고, 따라서 공격자가 비행기 탑승권까지도 가져갈 수 있다.

“뿐만 아니라 공격을 받은 여행객과 같이 예약한 다른 여행객 혹은 동승객의 정보도 공격자가 마음대로 주무를 수 있게 됩니다. 회사 동료든 가족이든 말이죠. 공격자가 단체 여행객의 정보를 가져간다고 생각해보세요. 공격자 입장에서는 잭팟이 터진 겁니다. 비행기표 몇 장을 가로채는 수준이 아니라, 예약 시스템 전체를 뒤흔드는 위협이 되는 것이죠.”

물론 표적형 공격으로 이러한 위협을 가하기는 쉽지 않을 것으로 보인다고 완데라는 말한다. “같은 네트워크에 있어야만 공격이 성립하기에, 우연한 공격이 성공으로 이어지는 사례가 더 많을 겁니다.”

그렇다고 표적형 공격이 아예 가능성 0이 되는 건 아니다. “사람들은 보통 비슷한 패턴으로 활동합니다. 오프라인에서도, 온라인에서도요. 표적이 된 사람들의 습관을 파악하는 건 그리 어려운 일이 아니고, 주로 접속하는 네트워크를 파악하는 것도 비슷한 정도로 간단합니다. 게다가 공공 장소에서의 공공 와이파이 보급도 넓어지고 있고, 따라서 사용자도 늘어나고 있죠. 같은 와이파이망에 있어야 한다는 게 결코 실현 가능성이 낮은 전제 조건이 아닙니다.”

그러나 항공사들의 생각은 그렇지 않은 듯하다. “항공사들에 이 내용을 알렸을 때, 다들 실제 위험성이 높지 않다는 결론을 내렸다고 답했습니다. 자기들의 책임이 아니라는 곳도 있었습니다. 물론 보다 상세한 내용을 제공해달라고 요청한 곳도 있었고, 해결하기 위해 조치를 취하고 있다고 답한 곳도 있었지만 극히 일부였습니다.”

완데라는 “항공사들이 링크를 불안전한 상태로 승객들에게 제공하는 건 편리성을 살리기 위한 것으로 보인다”고 말한다. “링크를 암호화 하거나, 인증 절차를 도입하면 해결할 수 있는 문제인데, 그러면 고객들이 불편함 때문에 경쟁사로 옮길 것을 염려하는 것이 아닐까 합니다.”

3줄 요약
1. 항공사들이 사용하고 있는 전자 티켓 서비스, 매우 불안전함.
2. 피해자와 공격자가 같은 와이파이 망에 있으면, 공격자가 피해자로 둔갑 가능.
3. 항공사들 대부분 사소한 문제라고 보고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향